其他配置选项说明
对特征集进行配置时,用户可以对协议的相关选项进行配置,不同协议类型可编辑的选项不同。本节对各选项进行具体说明。
DNS
协议检查行为:为特征集配置协议合法性检查的严格性。
- 严格:配置协议合法性检查为严格。配置为严格后,当系统在协议解析过程中发现协议解析错误时,系统将根据错误的安全级别,按照特征集配置的相应级别对应的动作对攻击包进行操作。
- 宽松:配置协议合法性检查为松散。配置为松散后,当系统在协议解析过程中发现协议解析错误时,系统将仅记录日志信息然后调用引擎进行特征匹配检查。
FTP
在暴力破解下阻断配置:配置暴力破解功能,即如果一分钟内指定次数尝试登录均失败,系统会判定为入侵攻击,并根据配置做出相应。
- 暴力破解:选中<启用>服务框开启暴力破解功能。
- 每分钟登录上限值:指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000。
- 屏蔽对象:指定对超出限定认证/登录失败频率的攻击者的IP地址或者服务进行阻断。
- 屏蔽时间:指定对攻击者IP或者服务进行阻断的时长,单位为秒,范围是60到3600秒。
协议检查行为:为特征集配置协议合法性检查的严格性。
- 严格:配置协议合法性检查为严格。配置为严格后,当系统在协议解析过程中发现协议解析错误时,系统将根据错误的安全级别,按照特征集配置的相应级别对应的动作对攻击包进行操作。
- 宽松:配置协议合法性检查为松散。配置为松散后,当系统在协议解析过程中发现协议解析错误时,系统将仅记录日志信息然后调用引擎进行特征匹配检查。
Banner防护:选中该选项的<启用>复选框开启FTP服务器banner信息保护功能。
- Banner信息:开启banner防护功能后,在该文本框中输入新信息替换原有服务器banner信息。
命令行最大长度:指定FTP命令行的最大长度(包含回车换行),单位为字节。取值范围是5到1024字节。
- 安全级别:指定超过限定命令行长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
响应行最大长度:指定FTP最大响应长度,单位为字节。
- 安全级别:指定超过限定响应长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
HTTP
基本配置
协议异常检查:选中该选项的<启用>复选框,为特征集配置协议异常检查级别。
- 严格:配置协议异常检查级别为严格。配置为严格后,当系统在协议解析过程中发现协议解析错误时,系统将根据错误的安全级别,按照特征集配置的相应级别对应的动作对攻击包进行操作。
- 宽松:配置协议异常检查级别为松散。配置为松散后,当系统在协议解析过程中发现协议解析错误时,系统将仅记录日志信息然后调用引擎进行特征匹配检查。
Banner防护:选中该选项的<启用>复选框开启HTTP服务器banner信息保护功能。
- Banner信息:开启banner防护功能后,在该文本框中输入新信息替换原有服务器banner信息。
URI最大长度:指定系统允许的HTTP协议URL的最大长度,单位为字节。范围为64到4096字节。
- 安全级别:指定超过限定URL长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
允许HTTP方法:指定系统允许的HTTP方法。
Web服务器防护
新建:点击『新建』按钮,在弹出的<Web服务器配置>文本框中新建Web服务器并对其进行防护配置。新建HTTP特征集时,系统会自动创建一个名称为“default”的默认Web服务器,默认Web服务器缺省为开启状态,且不能被禁用和删除。每个特征集最多配置32个Web服务器,不包括默认服务器。关于<Web服务器配置>文本框选项的详细说明,请参见后续内容。
启用:选中Web服务器列表中的复选框,点击该按钮,启用Web服务器。
禁用:选中Web服务器列表中的复选框,点击该按钮,禁用Web服务器。
编辑:选中Web服务器列表中的复选框,点击该按钮,编辑Web服务器。
删除:选中Web服务器列表中的复选框,点击该按钮,删除Web服务器。
<Web服务器配置>文本框中的选项说明如下:
Web服务器名称:在文本框中输入需要创建的Web服务器名称。
域名设置:点击『域名设置』链接,弹出<域名设置>对话框,在该对话框为Web服务器配置域名。每个Web服务器最多允许配置5个域名。Web服务器域名遵循从后往前的最长匹配原则,例如,配置Web服务器“web_server1”和“web_server2”,且web_server1的域名为abc.com,web_server2的域名为email.abc.com。完成配置后,访问news.abc.com的流量将匹配web_server1;访问www.email.abc.com的流量将匹配web_server2;访问www.abc.com.cn的流量将匹配默认Web服务器。
SQL注入检查:选中<启用>复选框开启Web服务器SQL注入检查功能。
- 敏感度:为Web服务器SQL注入检查指定检测敏感度,可以为“高”、“中”或者“低”。默认为“低”。敏感度越高,漏报率越低。
- 检查点:为Web服务器SQL注入检查指定检查点,可以为HTTP Cookie、HTTP Cookie2、HTTP Post、HTTP Referer或者HTTP URI。
- 仅记录日志/重置:为Web服务器SQL注入检查指定相应的动作,可以为“仅记录日志”或者“重置”。“仅记录日志”指定发现SQL注入攻击后仅记录日志信息。“重置”指定发现SQL注入攻击后重置连接(TCP)或者发送目标不可达包(UDP)并且记录日志信息。
- 阻断:选中<阻断>复选框,并在<类型>下拉菜单中选择阻断类型,指定阻断SQL注入攻击者的IP地址或者服务。在<时长>文本框中输入时间,指定对攻击者IP或者服务进行阻断的时长,单位为秒,范围是60到3600秒。
XSS注入检查:选中<启用>复选框开启Web服务器XSS注入检查功能。
- 敏感度:为Web服务器XSS注入检查指定检测敏感度,可以为“高”、“中”或者“低”。默认为“低”。敏感度越高,漏报率越低。
- 检查点:为Web服务器XSS注入检查指定检查点,可以为HTTP Cookie、HTTP Cookie2、HTTP Post、HTTP Referer或者HTTP URI。
- 仅记录日志/重置:为Web服务器XSS注入检查指定相应的动作,可以为“仅记录日志”或者“重置”。“仅记录日志”指定发现XSS注入攻击后仅记录日志信息。“重置”指定发现XSS注入攻击后重置连接(TCP)或者发送目标不可达包(UDP)并且记录日志信息。
- 阻断:选中<阻断>复选框,并在<类型>下拉菜单中选择阻断类型,指定阻断XSS注入攻击者的IP地址或者服务。在<时长>文本框中输入时间,指定对攻击者IP或者服务进行阻断的时长,单位为秒,范围是60到3600秒。
外链检查:选中<启用>复选框开启Web服务器站点外链检查功能,控制Web服务器对其它站点资源的引用。
- 外链特例:点击『外链特例』链接,弹出<外链特例配置>对话框,在该对话框配置的URL都可以被Web服务器引用(被外链)。每个Web服务器最多配置32个URL。
- 仅记录日志/重置:为Web站点外链行为指定相应的动作,可以为“仅记录日志”或者“重置”。“仅记录日志”指定发现Web站点外链行为后仅记录日志信息。“重置”指定发现Web站点外链行为后重置连接(TCP)或者发送目标不可达包(UDP)并且记录日志信息。
访问控制:选中<启用>复选框开启Web服务器访问控制功能,即对Web站点进行上传路径检查,防止攻击者利用上传漏洞向Web服务器上传恶意代码。
- 访问控制路径:点击『访问控制路径』链接,弹出<访问控制配置>对话框,在该对话框配置Web站点路径并指定其属性,该路径为Web服务器的相对路径。静态属性Web站点路径下的资源只能按照静态资源(图片和普通文本)进行访问,否则,将按照控制动作配置(仅记录日志/重置)进行处理;禁止属性Web站点路径下的资源不允许访问。
- 仅记录日志/重置:为Web站点上传行为指定相应的动作,可以为“仅记录日志”或者“重置”。“仅记录日志”指定发现Web站点上传行为后仅记录日志信息。“重置”指定发现Web站点上传行为后重置连接(TCP)或者发送目标不可达包(UDP)并且记录日志信息。
CC防护:选中<启用>复选框开启HTTP协议CC防护功能。
- 请求阈值:指定开启HTTP协议CC防护功能的请求阈值。当HTTP连接请求速率达到设定阈值时,即判断为发生CC攻击,并启动CC防护功能。
- 认证方法:为CC防护功能配置认证方法。系统通过认证判断HTTP请求的源IP是否合法,从而识别攻击流量并进行防护。如果某个源IP认证失败,系统将阻断该源IP发起的本次HTTP请求。从下拉菜单中选择合适的认证方法,包括:自动(JS Cookie),该认证方法由浏览器自动完成认证交互;自动(重定向),该认证方法由浏览器自动完成认证交互;手动(访问确认),该认证方法需要HTTP请求发起者点击返回提示框上的“确认”按钮进行认证;手动(验证码),该认证方法需要请求发起者输入验证码进行认证。
- 爬虫友好:选中复选框,指定不对爬虫进行认证。
- 访问限速:选中复选框,为CC防护功能配置访问限速。配置访问限速后,系统会根据配置对每个源IP进行请求速率限制。在<阈值>文本框中指定访问速率阈值,如果收到的请求速率超过该指定值且CC防护功能已开启,系统会对超出的请求数做相应的限制操作。取值范围为0到1000000次/秒;在下拉菜单中选择系统对超出请求速率阈值的请求数的限制操作,可以为“阻断IP”或者“重置”。“阻断IP”指定对攻超出的请求数的源IP进行阻断,并在<时长>文本框中指定阻断时长,单位为秒,范围是60到3600秒。“重置”指定重置超出的请求数的请求连接;选中<记录日志>文本框,指定记录日志信息。
- 代理限速:选中复选框,为CC防护功能配置代理限速。配置代理限速后,系统会检查每个源IP是否属于代理服务器,若属于,则根据配置进行请求速率限制。在<阈值>文本框中指定请求速率阈值,如果收到的请求速率超过该指定值且CC防护功能已开启,系统会对超出的请求数做相应的限制操作。取值范围为0到1000000次/秒;在下拉菜单中选择系统对超出请求速率阈值的请求数的限制操作,可以为“阻断IP”或者“重置”。“阻断IP”指定对攻超出的请求数的源IP进行阻断,并在<时长>文本框中指定阻断时长,单位为秒,范围是60到3600秒。“重置”指定重置超出的请求数的请求连接;选中<记录日志>文本框,指定记录日志信息。
- 白名单:为CC防护功能配置白名单。添加到白名单中的源IP地址不做CC防护检查。在下拉菜单中选择需要的地址条目,地址条目不能为域名和IPv6地址。如果白名单中源IP地址的流量超出CC防护请求阈值,则会触发CC防护功能的开启。
POP3
在暴力破解下阻断配置:配置暴力破解功能,即如果一分钟内指定次数尝试登录均失败,系统会判定为入侵攻击,并根据配置做出相应。
- 暴力破解:选中<启用>服务框开启暴力破解功能。
- 每分钟登录上限值:指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000。
- 屏蔽对象:指定对超出限定认证/登录失败频率的攻击者的IP地址或者服务进行阻断。
- 屏蔽时间:指定对攻击者IP或者服务进行阻断的时长,单位为秒,范围是60到3600秒。
协议检查行为:为特征集配置协议合法性检查的严格性。
- 严格:配置协议合法性检查为严格。配置为严格后,当系统在协议解析过程中发现协议解析错误时,系统将根据错误的安全级别,按照特征集配置的相应级别对应的动作对攻击包进行操作。
- 宽松:配置协议合法性检查为松散。配置为松散后,当系统在协议解析过程中发现协议解析错误时,系统将仅记录日志信息然后调用引擎进行特征匹配检查。
Banner防护:选中该选项的<启用>复选框开启POP3服务器banner信息保护功能。
- Banner信息:开启banner防护功能后,在该文本框中输入新信息替换原有服务器banner信息。
命令行最大长度:指定POP3命令行的最大长度(包含回车换行),单位为字节。取值范围是5到1024字节。
- 安全级别:指定超过限定命令行长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
参数最大长度:指定POP3客户端命令参数的最大长度,单位为字节。
- 安全级别:指定超过限定命令参数行长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
失败最大次数:指定系统允许的POP3服务器返回错误的最大次数(同一个POP3会话中)。范围为0到512。
- 安全级别:指定超过限定失败次数的事件的安全级别。系统将根据该安全级别确定相应的动作。
SMTP
在暴力破解下阻断配置:配置暴力破解功能,即如果一分钟内指定次数尝试登录均失败,系统会判定为入侵攻击,并根据配置做出相应。
- 暴力破解:选中<启用>服务框开启暴力破解功能。
- 每分钟登录上限值:指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000。
- 屏蔽对象:指定对超出限定认证/登录失败频率的攻击者的IP地址或者服务进行阻断。
- 屏蔽时间:指定对攻击者IP或者服务进行阻断的时长,单位为秒,范围是60到3600秒。
协议检查行为:为特征集配置协议合法性检查的严格性。
- 严格:配置协议合法性检查为严格。配置为严格后,当系统在协议解析过程中发现协议解析错误时,系统将根据错误的安全级别,按照特征集配置的相应级别对应的动作对攻击包进行操作。
- 宽松:配置协议合法性检查为松散。配置为松散后,当系统在协议解析过程中发现协议解析错误时,系统将仅记录日志信息然后调用引擎进行特征匹配检查。
Banner防护:选中该选项的<启用>复选框开启SMTP服务器banner信息保护功能。
- Banner信息:开启banner防护功能后,在该文本框中输入新信息替换原有服务器banner信息。
命令行最大长度:指定SMTP命令行的最大长度(包含回车换行),单位为字节。取值范围是5到1024字节。
- 安全级别:指定超过限定命令行长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
路径最大长度:指定系统允许的SMTP客户端命令中reverse-path和forward-path的最大长度,单位为字节。范围为16到512(含标点符号)。
- 安全级别:指定超过限定SMTP服务器端响应的最大长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
回复行最大长度:指定系统允许的SMTP服务器端响应的最大长度,单位为字节,范围为64到1024(含回车换行)。
- 安全级别:指定超过限定SMTP服务器端响应的最大长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
文本行最大长度:指定系统允许的SMTP客户端邮件文本的最大长度,单位为字节,范围为64到2048(含回车换行)。
- 安全级别:指定超过限定SMTP客户端邮件文本的最大长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
内容类型最大长度:指定SMTP协议Content-Type值的最大长度,单位为字节。取值范围是6到1024字节。
- 安全级别:指定超过限定Content-Type值长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
内容文件名最大长度:指定SMTP协议邮件附件名称的最大长度,单位为字节。取值范围是64到1024字节。
- 安全级别:指定超过限定SMTP协议邮件附件名称最大长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
失败最大次数:指定系统允许的SMTP服务器返回错误的最大次数(同一个SMTP会话中)。范围为0到512。
- 安全级别:指定超过限定失败次数的事件的安全级别。系统将根据该安全级别确定相应的动作。
Telnet
在暴力破解下阻断配置:配置暴力破解功能,即如果一分钟内指定次数尝试登录均失败,系统会判定为入侵攻击,并根据配置做出相应。
- 暴力破解:选中<启用>服务框开启暴力破解功能。
- 每分钟登录上限值:指定允许的一分钟内认证/登录失败的次数。取值范围是1到100000。
- 屏蔽对象:指定对超出限定认证/登录失败频率的攻击者的IP地址或者服务进行阻断。
- 屏蔽时间:指定对攻击者IP或者服务进行阻断的时长,单位为秒,范围是60到3600秒。
协议检查行为:为特征集配置协议合法性检查的严格性。
- 严格:配置协议合法性检查为严格。配置为严格后,当系统在协议解析过程中发现协议解析错误时,系统将根据错误的安全级别,按照特征集配置的相应级别对应的动作对攻击包进行操作。
- 宽松:配置协议合法性检查为松散。配置为松散后,当系统在协议解析过程中发现协议解析错误时,系统将仅记录日志信息然后调用引擎进行特征匹配检查。
用户名/密码最大长度:指定Telnet用户名和密码的最大长度,单位为字节,范围为6到1024。
- 安全级别:指定超过限定Telnet用户名和密码长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
Other-TCP/Other-UDP/IMAP/Finger/NNTP/TFTP/SNMP/MySQL/MSSQL/ORACLE/NetBIOS/DHCP/LDAP/VoIP
SUNRPC
协议检查行为:为特征集配置协议合法性检查的严格性。
- 严格:配置协议合法性检查为严格。配置为严格后,当系统在协议解析过程中发现协议解析错误时,系统将根据错误的安全级别,按照特征集配置的相应级别对应的动作对攻击包进行操作。
- 宽松:配置协议合法性检查为松散。配置为松散后,当系统在协议解析过程中发现协议解析错误时,系统将仅记录日志信息然后调用引擎进行特征匹配检查。
MSRPC
在暴力破解下阻断配置:配置暴力查找功能。
- 暴力Lookup:选中<启用>服务框开启暴力查找功能。
- 每分钟登录上限值:指定允许的一分钟内查询的次数。取值范围是1到100000。
- 屏蔽对象:指定对超出限定查询频率的攻击者的IP地址或者服务进行阻断。
- 屏蔽时间:指定对攻击者IP或者服务进行阻断的时长,单位为秒,范围是60到3600秒。
协议检查行为:为特征集配置协议合法性检查的严格性。
- 严格:配置协议合法性检查为严格。配置为严格后,当系统在协议解析过程中发现协议解析错误时,系统将根据错误的安全级别,按照特征集配置的相应级别对应的动作对攻击包进行操作。
- 宽松:配置协议合法性检查为松散。配置为松散后,当系统在协议解析过程中发现协议解析错误时,系统将仅记录日志信息然后调用引擎进行特征匹配检查。
Bind最大长度:指定系统允许的MSRPC协议绑定报文的最大长度,单位为字节。取值范围是16到65535字节。
- 安全级别:指定超过限定绑定报文长度的事件的安全级别。系统将根据该安全级别确定相应的动作。
Request最大长度:指定系统允许的MSRCP协议请求报文的最大长度,单位为字节。取值范围是16到65535字节。
- 指定超过限定请求报文长度的事件的安全级别。系统将根据该安全级别确定相应的动作。